728x90
|
구현단계 49개 보안약점 제거 기준
|
구현단계
|
|
설계단계 보안설계 기준
|
설계단계
|
|
SQL 삽입
|
입력 데이터 검증 및 표현
|
|
DBMS 조회 및 결과 검증
|
입력 데이터 검증 및 표현
|
|
코드 삽입
|
입력 데이터 검증 및 표현
|
|
시스템 자원 접근 및 명령어 수행 입력값 검증
|
입력 데이터 검증 및 표현
|
|
경로 조작 및 자원 삽입
|
입력 데이터 검증 및 표현
|
|
시스템 자원 접근 및 명령어 수행 입력값 검증
|
입력 데이터 검증 및 표현
|
|
크로스사이트 스크립트
|
입력 데이터 검증 및 표현
|
|
웹 서비스 요청 및 결과 검증
|
입력 데이터 검증 및 표현
|
|
운영체제 명령어 삽입
|
입력 데이터 검증 및 표현
|
|
시스템 자원 접근 및 명령어 수행 입력값 검증
|
입력 데이터 검증 및 표현
|
|
위험한 형식 파일 업로드
|
입력 데이터 검증 및 표현
|
|
업로드 다운로드 파일 검증
|
입력 데이터 검증 및 표현
|
|
신뢰되지 않은 URL 주소로 자동 접속 연결
|
입력 데이터 검증 및 표현
|
|
HTTP 프로토콜 유효성 검증
|
입력 데이터 검증 및 표현
|
|
부적절한 XML 외부개체 참조
|
입력 데이터 검증 및 표현
|
|
XML 조회 및 결과 검증
|
입력 데이터 검증 및 표현
|
|
XML 삽입
|
입력 데이터 검증 및 표현
|
|
XML 조회 및 결과 검증
|
입력 데이터 검증 및 표현
|
|
LDAP 삽입
|
입력 데이터 검증 및 표현
|
|
디렉토리 서비스 조회 및 결과 검증
|
입력 데이터 검증 및 표현
|
|
크로스사이트 요청 위조
|
입력 데이터 검증 및 표현
|
|
웹 기반 중요 기능 수행 요청 유효성 검증
|
입력 데이터 검증 및 표현
|
|
서버사이드 요청 위조
|
입력 데이터 검증 및 표현
|
|
인증 대상 및 방식
|
보안 기능
|
|
서버사이드 요청 위조
|
입력 데이터 검증 및 표현
|
|
시스템 자원 접근 및 명령어 수행 입력값 검증
|
입력 데이터 검증 및 표현
|
|
HTTP 응답 분할
|
입력 데이터 검증 및 표현
|
|
HTTP 프로토콜 유효성 검증
|
입력 데이터 검증 및 표현
|
|
정수형 오버플로우
|
입력 데이터 검증 및 표현
|
|
보안기능 입력값 검증
|
입력 데이터 검증 및 표현
|
|
보안기능 결정에 사용되는 부적절한 입력값
|
입력 데이터 검증 및 표현
|
|
보안기능 입력값 검증
|
입력 데이터 검증 및 표현
|
|
메모리 버퍼 오버플로우
|
입력 데이터 검증 및 표현
|
|
허용된 범위내 메모리 접근
|
입력 데이터 검증 및 표현
|
|
포맷 스트링 삽입
|
입력 데이터 검증 및 표현
|
|
허용된 범위내 메모리 접근
|
입력 데이터 검증 및 표현
|
|
적절한 인증 없는 중요 기능 허용
|
보안기능
|
|
인증 대상 및 방식
|
보안 기능
|
|
부적절한 인가
|
보안기능
|
|
중요자원 접근통제
|
보안 기능
|
|
중요한 자원에 대한 잘못된 권한 설정
|
보안기능
|
|
중요자원 접근통제
|
보안 기능
|
|
취약한 암호화 알고리즘 사용
|
보안기능
|
|
암호연산
|
보안 기능
|
|
암호화되지 않은 중요정보
|
보안기능
|
|
중요정보 전송
|
보안 기능
|
|
암호화되지 않은 중요정보
|
보안기능
|
|
중요정보 저장
|
보안 기능
|
|
하드코드된 중요정보
|
보안기능
|
|
암호키 관리
|
보안 기능
|
|
하드코드된 중요정보
|
보안기능
|
|
비밀번호 관리
|
보안 기능
|
|
충분하지 않은 키 길이 사용
|
보안기능
|
|
암호연산
|
보안 기능
|
|
적절하지 않은 난수값 사용
|
보안기능
|
|
암호연산
|
보안 기능
|
|
취약한 비밀번호 허용
|
보안기능
|
|
비밀번호 관리
|
보안 기능
|
|
부적절한 전자서명 확인
|
보안기능
|
|
업로드 다운로드 파일 검증
|
입력 데이터 검증 및 표현
|
|
부적절한 인증서 유효성 검증
|
보안기능
|
|
암호연산
|
보안 기능
|
|
부적절한 인증서 유효성 검증
|
보안기능
|
|
인증 대상 및 방식
|
보안 기능
|
|
사용자 하드디스크에 저장되는 쿠키를 통한 정보 노출
|
보안기능
|
|
중요정보 저장
|
보안 기능
|
|
주석문 안에 포함된 시스템 주요정보
|
보안기능
|
|
암호키 관리
|
보안 기능
|
|
솔트 없이 일방향 해쉬 함수 사용
|
보안기능
|
|
암호연산
|
보안 기능
|
|
무결성 검사 없는 코드 다운로드
|
보안기능
|
|
업로드 다운로드 파일 검증
|
입력 데이터 검증 및 표현
|
|
반복된 인증시도 제한 기능 부재
|
보안기능
|
|
인증 수행 제한
|
보안 기능
|
|
경쟁조건: 검사 시점과 사용 시점(TOCTOU)
|
시간 및 상태
|
|
|
|
|
종료되지 않은 반복문 재귀함수
|
시간 및 상태
|
|
|
|
|
오류메시지 정보 노출
|
에러처리
|
|
예외처리
|
에러처리
|
|
오류 상황 대응 부재
|
에러처리
|
|
|
|
|
부적절한 예외 처리
|
에러처리
|
|
|
|
|
Null Pointer 역참조
|
코드오류
|
|
보안기능 입력값 검증
|
입력 데이터 검증 및 표현
|
|
부적절한 자원해제
|
코드오류
|
|
|
|
|
해제된 자원 사용
|
코드오류
|
|
|
|
|
초기화되지 않은 변수 사용
|
코드오류
|
|
|
|
|
신뢰할 수 없는 데이터의 역직렬화
|
코드오류
|
|
|
|
|
잘못된 세션에 의한 데이터 정보노출
|
캡슐화
|
|
세션통제
|
세션통제
|
|
제거되지 않고 남은 디버그 코드
|
캡슐화
|
|
|
|
|
Public 메소드부터 반환된 Private 배열
|
캡슐화
|
|
|
|
|
Private 배열에 Public 데이터 할당
|
캡슐화
|
|
|
|
|
DNS Lookup에 의존한 보안 결정
|
API 오용
|
|
인증 대상 및 방식
|
보안 기능
|
|
취약한 API 사용
|
API 오용
|
|
|
|
728x90
'푸닥거리' 카테고리의 다른 글
| 2022 KISA 사이버보안인재센터 연간 교육계획 (0) | 2022.03.28 |
|---|---|
| 2022 한국정보기술연구원 교육일정 (0) | 2022.03.28 |
| MariaDB Xpand (0) | 2022.03.25 |
| URL Encoding 시 특수문자코드 (0) | 2021.12.03 |
| 웹 개발을 위한 JSP_Sevlet 기본 (0) | 2021.10.09 |
댓글